Como e porquê ativar e desativar o XMLRPC.PHP no WordPress
o xmlrpc.php é um ficheiro do WordPress que permite o acesso remoto ao seu sítio Web. Permite que aplicações externas, como aplicações móveis, ferramentas de terceiros e pingbacks, interajam com o seu site WordPress. Embora esta funcionalidade possa ser útil, também acarreta riscos de segurança, razão pela qual muitos proprietários de sites WordPress optam por desativar o xmlrpc.php quando não precisam dele. Este guia irá explicar-lhe o que é o xmlrpc.php, por que motivo poderá querer activá-lo ou desactivá-lo e como fazê-lo em segurança
O que é o xmlrpc.php no WordPress?
- o xmlrpc.php é um ficheiro central do WordPress que permite o acesso remoto ao seu site através do protocolo XML-RPC.
- Ele é usado para executar ações como
- Publicar posts a partir de aplicações remotas.
- Gerir comentários remotamente.
- Ativar pingbacks e trackbacks.
- Ligar aplicações WordPress em dispositivos móveis ao seu sítio Web.
- Exemplos de casos de uso
- Publicação de publicações a partir de aplicações móveis do WordPress.
- O plug-in Jetpack usa xmlrpc.php para alguns de seus recursos.
- Integração de serviços de terceiros que usam XML-RPC para transferência de dados.
Por que você deve desativar o xmlrpc.php?
o xmlrpc.php pode representar riscos de segurança, razão pela qual muitos proprietários de websites optam por desactivá-lo, especialmente se não utilizarem funcionalidades que dependam dele
Riscos de segurança comuns associados ao xmlrpc.php:
- Ataques de força bruta
- Os atacantes podem usar o xmlrpc.php para realizar ataques de força bruta, tentando vários nomes de utilizador e palavras-passe através de pedidos XML-RPC.
- Isso pode ser feito de forma mais eficiente usando xmlrpc.php porque um único pedido pode tentar várias tentativas de login.
- Ataques DDoS
- o xmlrpc.php pode ser usado em ataques de negação de serviço distribuído (DDoS) para sobrecarregar um site com pedidos de pingback, levando à exaustão de recursos e tempo de inatividade.
- Exploração de Pingbacks
- Os agentes maliciosos podem utilizar a funcionalidade de pingback no xmlrpc.php para amplificar os ataques DDoS ou gerar grandes volumes de spam.
Quando é que se deve ativar o xmlrpc.php?
- Você deve manter o xmlrpc.php ativado se
- Precisar de publicar publicações a partir da aplicação móvel do WordPress.
- Você usa plugins ou ferramentas que dependem do XML-RPC, como o Jetpack.
- Você precisa de recursos de publicação remota por meio de serviços externos.
Se não necessitar destas funcionalidades, é mais seguro desativar o xmlrpc.php para minimizar os riscos de segurança
Como desativar o xmlrpc.php no WordPress
Método 1: Desativar o xmlrpc.php usando um plugin (recomendado)
Usar um plugin é a maneira mais fácil de desativar o xmlrpc.php sem tocar em nenhum código
Passo 1: Instalar um Plugin
- Instale um plugin de segurança como Disable XML-RPC-API ou All In One WP Security & Firewall.
- Pode fazê-lo indo a Plugins > Adicionar novo no seu painel de controlo do WordPress, procurando o plugin e clicando em Instalar agora e depois em Ativar.
Passo 2: Configurar o plugin
- Se estiver a utilizar Desativar XML-RPC-API
- Depois de ativar o plugin, o xmlrpc.php será automaticamente desativado.
- Se estiver a usar All In One WP Security & Firewall
- Aceda a WP Security > Firewall.
- Localize a secção XML-RPC e desactive as opções XML-RPC.
Método 2: Desativar xmlrpc.php usando .htaccess (Avançado)
Se se sentir confortável a editar o ficheiro .htaccess, pode bloquear o acesso ao xmlrpc.php diretamente ao nível do servidor
Passo 1: Editar o ficheiro .htaccess
- Aceda ao seu diretório raiz do WordPress através de FTP ou do gestor de ficheiros do seu alojamento web (frequentemente designado por public_html).
- Abra o ficheiro .htaccess para edição.
- Adicione o seguinte código no final do ficheiro .htaccess# Bloqueia todo o acesso ao xmlrpc.php <Files xmlrpc.php> Ordem Permitir,Negar Negar de todos </Files>
- Salve as alterações e carregue o arquivo .htaccess atualizado de volta para o seu servidor.
Resultado:
- Esse código impede qualquer acesso externo ao xmlrpc.php, desativando-o efetivamente.
Método 3: Desativar o xmlrpc.php usando o Functions.php (código personalizado)
Também pode desativar o XML-RPC através do ficheiro functions.php do seu tema
Passo 1: Editar o ficheiro functions.php
- Vá para Aparência > Editor de Tema no seu painel de controlo do WordPress.
- Selecione o ficheiro functions.php na barra lateral direita.
- Adicione o seguinte código// Desativar XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- Clique em Atualizar arquivo para salvar as alterações.
Resultado:
- Este código irá desativar a funcionalidade XML-RPC no WordPress.
Método 4: Usando as configurações de segurança do seu host da Web
Alguns hosts da Web fornecem opções para desativar o XML-RPC por meio do painel de controle
- Inicie sessão na sua conta de alojamento web.
- Procure opções relacionadas com a segurança do WordPress ou com as definições da aplicação.
- Se disponível, desactive o acesso ao XML-RPC através do painel de segurança.
Como ativar o xmlrpc.php no WordPress
Se tiver desativado anteriormente o xmlrpc.php e precisar de o voltar a ativar, basta inverter os passos utilizados para o desativar
- Se você usou um plugin como Disable XML-RPC-API, desative ou desinstale o plugin.
- Se adicionou código a .htaccess ou functions.php, remova o código e guarde as alterações.
- Se desactivou o XML-RPC através do seu alojamento Web, utilize o painel de controlo do alojamento para voltar a ativar o acesso ao XML-RPC.
Resumo
No WordPress, o arquivo xmlrpc.php permite o acesso remoto e a interação entre seu site e aplicativos ou serviços externos. Isto pode ser conveniente para funcionalidades como a publicação de aplicações móveis ou a ligação de ferramentas de terceiros. No entanto, como cria um ponto de entrada adicional no seu site, torna-se frequentemente um alvo de tentativas de força bruta, spam e até ataques DDoS. Para minimizar estes riscos, muitos proprietários de sites optam por desativar o xmlrpc.php se não utilizarem ativamente as suas funções. Isto pode ser conseguido através de diferentes métodos, como a instalação de um plug-in de segurança dedicado, a adição de regras ao ficheiro .htaccess ou a modificação do ficheiro functions.php no seu tema. Cada abordagem dá-lhe controlo sobre se o acesso remoto é permitido e ajuda a reforçar a segurança geral do seu site. Por exemplo, ao adicionar uma linha simples como negar de todos dentro de uma diretiva .htaccess direcionada para xmlrpc.php, pode bloquear instantaneamente o acesso externo a este ficheiro. Se, em algum momento, você precisar de publicação remota ou integração de aplicativos, a alteração pode ser facilmente revertida. Ao compreender quando ativar ou desativar o xmlrpc.php, garante que o seu site WordPress permanece seguro sem sacrificar as funcionalidades de que realmente necessita.